En mars 2025, une alerte a secoué la communauté Kubernetes : la faille CVE-2025-1974, une vulnérabilité critique dans le contrôleur ingress-nginx, a été révélée.
Avec un score CVSS de 9.8, elle avait de quoi inquiéter. Mais chez Hexanet, où nous déployons et infogérons des clusters Kubernetes pour nos clients, nous avons pris les devants pour sécuriser les infrastructures sans la moindre perturbation.
Retour sur cette faille, son impact potentiel, et comment nous l’avons neutralisée.
Une faille qui ne passe pas inaperçue
La vulnérabilité CVE-2025-1974, dévoilée le 24 mars 2025 par le National Vulnerability Database (NVD), touche un composant clé des clusters Kubernetes : ingress-nginx. Ce contrôleur, indispensable pour exposer vos services au monde extérieur, présentait une brèche dans son Validating Admission Controller.
En résumé, un attaquant pouvait, sans authentification, injecter des configurations NGINX malveillantes et exécuter du code arbitraire. Le risque ? Une prise de contrôle totale du cluster via un accès aux secrets.
D’après les experts de Wiz Research, plus de 6 500 clusters étaient potentiellement exposés, dont 43 % dans des environnements cloud. Une menace sérieuse, mais pas insurmontable.
Comment ça marche ? Un petit détour technique
Pour les curieux ou les administrateurs qui aiment comprendre les rouages, voici le mécanisme de cette faille.
L’attaquant exploite les tampons de corps client NGINX (par défaut >8 Ko) pour écrire une charge utile sur disque “
Ensuite, il la charge via une directive comme ssl_engine, en s’appuyant sur ProcFS pour deviner le PID et le FD dans un conteneur. Dans un environnement minimaliste comme un pod Kubernetes, cette attaque devient redoutablement efficace.
Pour vérifier si vos clusters utilisent ingress-nginx, une commande simple suffit : kubectl get pods --all-namespaces --selector app.kubernetes.io/name=ingress-nginx
Si des pods apparaissent, il faut vérifier leur version.
Chez Hexanet, nous avons passé en revue chaque cluster que nous infogérons dès l’annonce de la faille.
Notre réponse : rapidité et zéro downtime
Face à une telle vulnérabilité, pas de place pour l’hésitation. Dès que les détails de CVE-2025-1974 ont été publiés, notre équipe s’est mobilisée. Nous avons mis à jour tous les clusters infogérés vers les versions sécurisées d’ingress-nginx (v1.11.5 ou v1.12.1, selon les configurations), et ce, sans aucune interruption de service. Les applications sont restées opérationnelles, comme si de rien n’était.
Comment avons-nous réussi ce tour de force ? Grâce à une préparation solide, une automatisation bien huilée et une veille technologique constante. Les correctifs, détaillés dans le blog officiel de Kubernetes, ont été déployés en un temps record.
Résultat : des clusters protégés, des services stables, et des clients sereins.
Et maintenant ? Des leçons pour l’avenir
Cette faille, surnommée "IngressNightmare" par certains, nous rappelle une évidence : dans l’univers Kubernetes, la vigilance est essentielle. Mais elle met aussi en lumière l’avantage d’avoir un partenaire comme Hexanet, capable d’agir vite et bien.
Si vous gérez vos propres infrastructures, jetez un œil aux ressources officielles, comme le blog Kubernetes ou les bulletins d’AWS et Google Cloud.
En conclusion
CVE-2025-1974 aurait pu semer le chaos, mais chez Hexanet, nous en avons fait une simple formalité. Grâce à notre réactivité et notre expertise, tous les clusters sont restés sécurisés, stables et performants.
Cette expérience renforce notre engagement à protéger vos infrastructures et anticiper les menaces.
Vous souhaitez confier l’infogérance de vos clusters Kubernetes à des experts ? Contactez-nous, on est là pour vous accompagner !